Microsoft Defender Araştırma ekibi, 13.000 kuruluş bünyesinde 35.000'den fazla kullanıcıyı hedef alan devasa bir kimlik avı kampanyasını ortaya çıkardı. Saldırganlar, sahte iç uyumluluk veya düzenleyici bildirimlerini kullanarak kurbanları tuzağa düşürdü. Kampanya kapsamında gönderilen e-postalar, kurumsal tarzda tasarlanmış HTML şablonları ve önceden belirtilmiş doğruluk ifadeleri içeriyordu. Bu sayede mesajlar, tipik kimlik avı e-postalarına göre çok daha inandırıcı ve meşru bir iç yazışma gibi görünüyordu.
15-16 Nisan 2026 tarihleri arasında yürütülen kampanya, ağırlıklı olarak ABD merkezli firmaları hedef alsa da toplamda 26 ülkede faaliyet gösteren kuruluşlarda tespit edildi. Microsoft'un bulgularına göre, e-postalarda suçlayıcı ifadeler ve tekrarlanan zaman baskısı oluşturan yönergeler yer alıyordu. Örneğin, 'Davranış politikası kapsamında iç vaka kaydı oluşturuldu' gibi konu satırları kullanılarak, alıcılardan ekteki dosyayı açarak vaka materyallerini incelemeleri istendi.
Saldırı zinciri oldukça karmaşıktı. Ekteki PDF dosyasındaki 'Vaka Materyallerini İncele' bağlantısına tıklayan kullanıcılar, önce bir Cloudflare CAPTCHA sayfasına yönlendirildi. Bu sayfa, otomatik analiz ve korumalı alan taramalarını atlatmak için kullanıldı. CAPTCHA'yı geçen kullanıcılar, belgelerin şifreli olduğu ve hesap doğrulaması gerektiği belirtilen başka bir siteye yönlendirildi. Burada, Microsoft oturum açma sayfası taklit edilerek kurbanların kimlik bilgilerini girmesi sağlandı ve ardından aradaki adam (AiTM) tekniğiyle oturum jetonları ele geçirildi.
Microsoft, bu tehdide karşı korunmak için çeşitli önlemler öneriyor. Bunlar arasında çok faktörlü kimlik doğrulamanın etkinleştirilmesi, e-posta güvenlik filtrelerinin güncellenmesi ve kullanıcıların kimlik avı farkındalığı konusunda eğitilmesi yer alıyor. Ayrıca, şirketlerin beklenmedik uyumluluk e-postalarına karşı dikkatli olması ve şüpheli bağlantılara tıklamaması gerektiği vurgulanıyor.